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(54) Verfahren zur Versorgung eines Gerates mit Software 



(57) Bei der Versorgung eines Gerates (1) oder ei- 
nes Systenns mit Software-Modulen (image_tmp, 
image_res) ist sicherzustellen, dass nur solche Soft- 
ware-Module zum Gerat (1) ubertragen und installiert 
werden, die zum Gerat (1) und zu im Gerat (1) berelts 
installienen Software-Modulen (image_res) kompatibel 
sind. Da die zu ubertragenden Software- Module 
(image_tmp) ein wlrtschaftliches Gut darstellen, sollten 
Dritte davon ausgeschlossen werden, sich bei der Ue- 
bertragung (20) an solchen Software-Modulen 
(image_tmp) bedienen zu konnen. Diese Aufgabe wird 



dadurch gelost, dass von einem mit neuen Software- 
Modulen (image_tmp) zu versorgenden Gerat (1) diffe- 
renzierte Angaben uber z.B. Typ, Ausbaustand und Her- 
kunft des Gerates (1) wie auch bereits installierter Soft- 
ware-Module (image_res) iiber ein Netzwerk (5) zu ei- 
nem Server (4) ubertragen werden. Im Server (4) wird 
aufgrund der ubermittelten Angaben eine Berechtigung 
gepriift, ob das betreffende Gerat (1) mit neuen Soft- 
ware-Modulen versorgt werden darf . Die Uebennittlung 
(20) der Daten erfolgt dabei iiber eine verschlusselte 
Verbindung. 
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Beschreibung 

[0001] Die vorliegende Erfindung betrifft ein Verfahren zur Versorgung eines Gerates mit Software und ein System 
zur Durchfuhrung des vorgenannten Verfahrens nach dem Oberbegriff der Patentanspruche 1 bzw. 8. 
5 [0002] Tragbare Informations- und Datenverarbeitungsgerate - oft als sogenannte PDA's (Personal Digital Assistant) 
bezeichnet - verfiigen uber eine hohe Funktionalitat. Diese wird uber die in einem sotchen Gerate gespeicherten Pro- 
gramme erreicht. Bei Personalcomputern kann eine Neuinstallation der Software mittels eines Datentragers, wie z.B. 
einer Compact Disk CD, vorgenommen werden. Eine Anpassung von z.B. Treiberprogrammen erfolgt vielfach mit 
einem sogenannten Download uber ein Netzwerk erfolgt. Die vorerwahnten Verfahren konnen zur Versorgung eines 
'0 PDA's mit Software deshalb nichtangewendet werden, da in diesenGeraten aufgrund ihrer Dimension ein sogenanntes 
CD-ROM-Laufwerk nicht untergebracht werden kann. Es ist moglich, ein Trelberprogramm uber ein Netzwerk herun- 
terzuladen (Download), es besteht jedoch die Gefahr, dass ein zum installierten Bethebssystem oder Anwendungs- 
programm inkompatibler Treiber im betreffenden Gerat installiert wird. Dadurch kann das Gerat fur den weiteren Ge- 
brauch blockiert werden. Da der Anwender sefber keine Neuinstallation vornehmen kann, muss das Gerat einer Ser- 

'5 vice-Stelle gebracht werden und Betriebssystem und Anwendungsprogramme neu in den Lesespeicher installiert wer- 
den. Selbsl wenn es moglich ware, fur solche Gerate einen Massenspeicher fur die Versorgung mit neuer Software 
auf kosiengunslige Weise bereitzustellen, hat ein Download eines neuen Software-Moduls iiber ein Netzwerk grosse 
Voncile hinsichilich der Verteilungslogistik. Problematlsch bleibt auch bei dieser Losung die Kompatlbilitat sowie die 
Feslsleliung einer Berechtigung, ob das betreffende Gerat ausSicht eines Netzwerkbetreibers (carrier) geladen werden 

20 sell, da damit eine moglichst entgettliche Versorgung erreicht werden soli. 

[0003] In der Schrift EP 1 133 088 A1 ist ein Verfahren zur Versorgung von Videotaperecodern mit TV-Programmin- 
formalion offenbart. die iiber eine Funkstrecke zu den Videotaperecordern iibermittelt wird. Dabei kann vom Benutzer 
aus iiber ein Mobiltelefon gesteuert werden, ob er das betreffende Programm unter Leistung einer allfalligen Gebuhr 
-anschaucn odor aufzcichnen lassen will. Nuruber einen individuellen Schlussel konnen die berechtigten Benutzer ein 

25 solches im Broadcastverfahren ubermitteltes Programm auch tatsachlich aufzeichnen oder ansehen lassen. 

[0004] Das in EP 1 133 088 A1 offenbarte Verfahren kann fur PDA's zur Versorgung mit Software deshalb nicht 
angewendet werden, well die Ven/vendung von zwei Geraten nicht handhabbar ist. 

[0005] Der vorllegenden Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Versorgung eines Gerates 
mit Software-Modulen und ein zugehoriges System zur Durchfuhrung des vorgenannten Verfahrens anzugeben, bei 
30 dem sichergestellt ist, dass nur solche Software-Module zum Gerat ubertragen und installiert werden, die zum Gerat 
und zu im Gerat bereits installierten Software-Modulen kompatibel sind und dass sbh Dritte an der Uebertragung der 
Software-Module nicht beteiligen konnen. 

[0006] Diese Aufgabe wird durch die im Patentanspruch 1 bzw. 8 angegebenen Massnahmen gelost. Vorteiihafte 
Ausgestaltungen der Erfindung sind in weiteren Anspruchen angegeben. 
35 [0007] Durch die erfindungsgemassen Verfahrensschritte 

A eine wenigstens das Gerat identifizierende Kennung wird vom Gerat an den Server iibermittelt; 
B Im Sender wird geprtift. ob zur ubemnittelten Kennung ein korrespondierendes Software -Modu I vorhanden ist 
und ob fur die Kennung eine Berechtigung vorhanden ist, ein Sottware-Modul zu Dbermittein; 
40 c abhangig vom Ergebnis der Prufung im Verfahrensschritt B wird entweder das korrespondierende Software- 

Modul Oder eine Meldung iibermittelt und im Speicher des Gerates gespeichert, wobei die Uebermittlung in den 
Verfahrensschritten A und C verschliisselt ist; 

wird sichergestellt, dass nur kompatlble Software-Module zum Gerat oder zu bereits installierten Software-Modulen 
45 iibermittelt werden und durch die verschlusselte Uebertragung konnen sk:h Dritte an den zu transferierenden Software- 
Modulen nicht bedlenen. 

[0008] So konnen sich die folgenden Vorteile zusatzlich ergeben: 

i) Dadurch dass die im Verfahrensschritt A ubermrttelte Kennung Angaben enthalt 
so iiber das Gerat: 

Ausbau des Gerates; 
Herkunft des Gerates; 

55 und/oder Ciber die auf dem Gerat installiertes Software-Module: 

auf dem Gerat installierte Sprache; 

Herkunft und/oder Laufnummer eines momentan auf dem Gerat installiertes Software-Moduls; 
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kann auf eine sehr differenzierte Weise die Kompatibilitat von neuen Software-Modulen zum Gerat und/oder zu 
bereits installierten Software-Modulen sichergestellt werden (Patentanspruch 2). 

ii) Dadurch dass im Verfahrensschritt C die gesicherte Uebertragung mittels des Protokolls https erfolgt; kann das 
5 erf indungsgemasse Verfahren mit einer standardisierten Verschliisselung auf einfache Weise implementiert wer- 

den (Patentanspruch 5). 

ill) Dadurch dass die Verfahrensschritte A und B sooft iteriert werden. bis alle Informationen zur Ausfuhrung des 
Verfahrensschrittes C vorhanden sind; kann ein vorzeitiger Abbruch einer Interaktion Benutzer/Server oder eine 
10 vorzeitige Negierung einer Berechtigung vermieden werden und erhoht dadurch die Benutzerfreundlichkeit ganz 

betrachtlich (Patentanspruch 6). 

[0009] Mit dem Begriff Programme bzw. Software sind im Kontext der vorliegenden Erfindung Betriebssystem und 
Anwendungsprogramme wie auch dazu vorgegebene Datenbanken und Datenbankstrukturen subsummiert. Es durf en 
'5 daher nur dazu kompatible Software-Module hinzugefugt werden. In etnem Software-Modul kann eine Bibliothek, z.B. 
erne Direct Link Library (DLL), ein ausfuhrbarer Programmteii wie auch eine bestimmte Datei mit vorgegebener Struktur, 
z.B. ein Default Registry, enthalten sein. Im Kontext mit der Beschreibung dieser Erfindung werden die vorstehend 
genannten inhaltlich durchaus verschiedenen Komponenten unter dem Begriff "Software-Modul" subsummiert. 
[0010] Die Erfindung wird nachfolgend anhand der Zeichnung beispielsweise naher eriautert. Dabei zeigen: 

CO 

Figur 1 Eine Uebersicht von Geraten, die uber ein Netzwerk mit einem Server verbindbar sind; 

Figur 2 Speicheraufteilung in einem Gerat zur Eriauterung der einzelnen Verfahrensschritte zur Vorsorgung eines 

Gerates mit Software-Modulen; 
Figur 3 Darstollung des Kommunikationsablaufes zwischen einem Gerat und einem Server 

25 

[0011] Figur 1 zeigt eine Uebersicht von Geraten 1 . 1', die uber ein Netzwerk 5 mit einem Server 4 verbindbar 
sind. Das zugmndefiegende Netzwerk 5 kann ein leitungs- oder ein paketvermitteltendes Netzwerk sein. Die einzelnen 
Gerate 1 usw. konnen direkt z.B. uber ISDN an das Netzwerk 5 angeschtossen sein oder iiber eine sogenannte Ba- 
sisstalion 2, von der eine bidirektionale Funkverbindung mit einem Gerat 1 " etablierbar IsL Diese Funkverbtndung kann 
30 gemass dem Standard IEEE 802.11 oder gemass dem Standard Bluetooth ausgebildet sein. Moglich ist auch, dass 
mehrere Gerate 1" und 1'" an einer einzigen Basisstation 2 mit dem Netzwerk 5 verbindbar sind. Das Netzwerk 5 
seinerseits braucht nicht homogen zu sein, sondern kann z.B. ein Gateway belnhalten, so dass die Gerate 1,1' usw. 
z.B. uber ISDN anschliessbarsind, jedoch die Verbindung zum Server4 iiber das Internet Protokoll TCP/IP hergestellt 
wird. 

35 [0012] Das erfindungsgemasse Verfahren fur die Versorgung eines Gerates mit einer bestimmten Version eines 
Betriebssystems wird anhand der Figur 2 eriautert, Figur 2 zeigt das Speicherlayout eines Gerates 1 und ohne Dar- 
stellung des Netzwerkes 5 eine Verbindung 20 zu einem Server 4. In einem Lesespeicher Flashi - auch Flash-Prom- 
Speicherbaustein genannt - ist in einem Block der sogenannte Bootloader bootloal enthalten. Dieses Programm sorgt 
beim Aufstarten, dass das in anderen Blocken des Lesespeichers 1 enthaltene residente Betriebssystem lmage_res 

40 in einer entpackten Fomi In den Schreiblesespeicher RAMI mittels eines Transfers 10 kopiert wird. Der vom ablauf- 
fahigen Betriebssystem belegle Speicherplatz ist in der Fig. 2 mit image_run bezeichnet. Fur das erfindungsgemasse 
Verfahren ist die gepackte Speicherung des Betriebssystem im Lesespeicher jedoch unerheblrch. Nachfolgend werden 
die verschiedenen Formen des Betriebssystem als "Image" bezeichnet, wobei mit Form die Art der Speicherung be- 
zeichnet ist: 

45 

Komprrmlert im Lesespeicher Flashi , 
ablauffahig im Schreiblesespeicher RAMI , 
komprimiert im Schreiblesespefcher RAMI . 

50 Flash-Prom-Speicherbausteine haben eine typische Speicherkapazital von 1 6 Mbyte aufweist. Sie sind dabei in Blocke 
von z.B. 128 kByte organisiert. Ein solcher Block kann gesamthaft geloscht und mit gegenuber herkommlrchen 
RAM-Bausteincn dcutlich langsameren Schrelbzyklen wieder neu beschrieben werden konnen. Die Speicherkapazitat 
des Schreiblesespeichers RAMI ist fur die Ausfuhrung der vorliegenden Erfindung vorzugsweisemindestens so gross 
wie jene des Lesespeichers Flashi . 

55 [0013] Im Block bootloa ist eine das betreffende Gerat identifizierende Kennung HWId-Rec abgelegt. Die Struktur 
dieser Kennung Id-Rec ist in Felder gegliedert und beispielhaft der folgenden Tabelle 1 zu entnehmen. Die Grosse der 
Struktur HWId-Rec betragt In diesem Beispiel 11 Byte. 
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Tabelle 1 



HWId-Rec 


Bezeichnung 


Gross e 


inhalt, Bedeutung 


Typ 


1 


Art des Gerates 


RAMI 


1 


Ausbaugrosse, Typ 


Flashi 


1 


Ausbaugrosse, Typ 


supp! 


1 


Ausbau, Zusatzkompenente 


Sep 


1 


Zeichen 


HW-Vers 


5 


Herkunft des Gerates und Laufnummer 


term 


1 


Abschlusszeichen, z.B. 0x00. 



Belsplel einer HWld-Rec: C110-DT002. 

[0014] Mit dem Zeichen C ist der Gerate Typ gekennzeichnet, mit den beiden nachfolgenden Zeichen 1 ist eine 
bestimmte Ausbaugrosse und ein bestimmter Typ des Lesespeichers und des Schreiblesespeichers codiert. Im Feld 
supp} ist mit 0 angegeben, dass keine Zusatzkomponente vorhanden Ist Die Versionsangabe DT002 bezeichnet ein 
Gerat eines bestimmte n Carriers, z.B. Deutsche Telekom AG, und eine Laufnummer, die die Version des Bootloaders 
und die Hardwarezustandsnummer identifiziert. Das Abschlusszeichen term (ternn=Termination) Ist in der Tabelle in 
der ubiichen hexadezimalen Schreibweise angegeben. 

[0015] Fur die Versorgung eines Gerates 1 mit einem neuen Betriebssystem bzw. Image ist zusatzlich zur Kennung 
des Gerates auch eine Kennung des momentan gespeicherten Image erforderlich. Die Kennung des Image ist bei- 
spielhaft der folgenden Tabelle 2 zu entnehmen. Die Grosse der Struktur SWId-Rec betragt in diesem Beisplel 11 Byte. 



Tabelle 2 



SWId-Rec 


Bezeichnung 


Grosse 


inhalt, Bedeutung 


orig-ld 


2 


Herkunft des Image 


sep 


1 


Zeichen 


ig 


3 


FRA, GER, ENG, ITA, Sprache 


sep 


1 


Zeichen 


SW-Vers 


3 


Laufnummer des Image 


term 


1 


Abschlusszeichen, z.B. 0x00 



Beispiel einer SWId-Rec: DT-GER-007. 

[0016] Mit der Zeichenfolge DT ist die Herkunft der Software gekennzeichnet, z.B. Deutsche Telekom. Der Begriff 
Herkunft ist dabei so zu verstehen, dass es sich um ein Gerat mit einer installlerten Software handelt, die an Kunden 
der Deutschen Telekom AG abgegeben wurde. Da der Speicherplatz auf diesen Gerat zwar betrachtlich ist, jedoch 
trotzdem in haushalterischer Weise genutzt werden muss, ist insbesondere die Sprache fur die tnteraktion Mensch/ 
Gerat zwar vorzugsweise in separaten Modulen enthalten, jedoch meist nur fiir eine einzige Sprache auf dem Gerat 
speicherbar. Ein Sprachwechsel kann daher ohne Download des entsprechenden Software-Moduls nicht vorgenom- 
men werden. Die Sprache ist im Feld Ig (lg=language) angegeben. Fiir die Version des Image ist eine dreistelllge 
Laufnummer vorgesehen, mogllch ist auch eine andere Gliederung wie z.B. in Versionsstand, Revisionsstand und 
Paketstand, wobei der Versionsstand fur einen bestinnmten Leistungsmerkmalsumfang, der Revisionsstand fur einen 
bestimmten Stand der Fehlerkorrektur und der Paketstand fiir eine bestimmte Ausgabe des betreffenden Software- 
Moduls steht. Das angegebene Trennzeichen sep (Separator) kann explizit In der Kennung HWId-Rec und/oder SWId- 
Rec enthalten sein. Moglich ist aber auch, aufgrund einer vorgegebenen Definition der Struktur dieses zek:hen nach- 
traglich - insbesondere fur eine Darstellung zuhanden einer Person - zur besseren Lesbarkert einzufugen. 
[0017] Die Versorgung eines Gerates mit eInem oder mehreren neuen Software-Modulen erfolgt nun mit folgenden 
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Schritten: Von einem Gerat 1 wird durch eine Interaktion einer Person eine Verbindung zu einem Server 4 aufgebaut. 
Moglich ist auch. dass diese Verbindung automalisch aufgebaut wird. wenn vom Gerat 1 eine Verbindung zu irgend 
einer Seite des betreffenden Carriers ein Infomnationsangebottransferiert wird. Dabei wird die das Gerat 1 bedienende 
Person vorzugsweise zu einem Einverstandnis fur die Versorgung mit einem neuen Software aufgefordert. Die Art der 

5 verwendeten Transportschicht Ist unerheblich, vorzugsweise wird eineTCP/IP-Verbindung zu einem Server aufgebaut, 
als Protokoll wird HTTP venwendet und die Verbindung lauft uber einen sogenannten Secure Socket Layer. Die Ver- 
wendung eines solchen Secure-Socket- Layers fuhrt zu einem verschlusselten Datentransfer zwischen Gerat 1 und 
Server 4. Vom Gerat 1 aus wird uber einen HTTPS-Request auf Seite des Servers 4 ein sogenanntes CGI-Script 
gestartet. Als Parameter wird eine Kennung Id-Rec ubermlttelt. die gemass den vorstehenden Eriauterungen aus den 

10 Kennungen HWId-Rec und SWId-Rec direkt durch eine sogenannte Strlng-Concatenuation gebildet wird: 



Id-Rec := HWId-Rec + SWId-Rec. 



15 Je nach Art der Realisierung kann die fur den Verbindungsaufbau erforderliche Angabe der Adresse des Servers 4 
entweder im Gerat 1 selber gespeichen sein, z.B. in der sogenannten Registry oder die Adresse muss vom Benutzer 
z.B. als URL eingegeben werden oder wie vorstehend erwahnt kann die Adresse auch automalisch von einem weiteren 
Server des gleichen Carriers ubermlttelt worden sein. 

[0018] Auf Seite des Servers 4 wird nun gepruft, ob fur die ubermitlelte Kennung Id-Rec entsprechende Software- 
20 Module vorhanden sind und falls ja, ob das Gerat 1 mrt der betreffenden Kennung berechtigt ist, neue Software-Module 
zu empfangen. Aus Grunden der Kundenbindung darf z.B. ein Gerat 1 , das von einem anderen Carrier vertrieben wird 
und dessen Leistungsmerkmalsumfang kleiner ist. nicht zu einem sogenannten Leistungsmerkmafshub uber einen 
anderen Camer kommen. Der Vorteil dieses Verfahrens liegt darin, dass ohne eine weitere Benutzeridentifikation die 
Kunden des betreffenden Carriers mit neuer Software versorgt werden konnen. Die Prufung der Berechtigung kann 
25 z.B. gemass folgenden zwei Beispielen explizit gepruft werden: 

i) Es wird die Angabe der ersten zwei Zeichen im Feld Version-Nr der Struktur HWId-Rec und die Angabe orig-ld 
der Struktur SWId-Rec gepruft. Dabei mussen erstens die beiden Angaben ubereinstimmen, z.B. SC fur Swisscom 
AG, und zweitens muss der Server 4 fur den betreffenden Carrier berechtigt sein oder dem Carrier tatsachltch 

30 gehoren. 

ii) Altemativ oder kumulativ kann z.B. das Feld Version-Nr der Kennung HWId-Rec eine Serienummer beinhalten. 
Auf der Seite des Servers 4 kann aufgrund einer Liste von gespeicherten Serienummem eine Berechtigung fest- 
gestellt werden. In diesem Fall kann die Grosse des vorgenannten Feldes HW-Vers entsprechend angepasst; 
ohne Anpassung lasst sich m.it z.B. 2 Byte von 5 Byte immerhin noch ein Nummemvon-at von 2^® = 65.536 reali- 

35 sieren. 

[0019] Das auf dem Server 4 mittels eines HTTP S- Requests ablaufende Script erzeugt eine sogenannte HTTPS-Re- 
sponse. Diese Response beinhaltet einen Status Code; z.B. 0 fur eine erfolgreiche Ausfuhrung und in den Header- 
Lines ist der Content-Type: text/plain enthalten, der sogenannte Body weist die Struktur <Code> <additional informa- 
40 tion>; dieser Body hat beisplelsweise die in Tabelle 3 enthaltenen Inhalte. 



Tabelle 3 



Body 


<code> 


odditional information>; Erlauterung 


100 


Kein Image fur diesen Geraietyp vorhanden. 


110 


Kein Image fur diese Serienummer vorhanden. 


120 


Aufgrund der Herkunft des Gerates keine Berechtigung zum Download eines neuen Image. 






300 


Liste der vertugbaren Images: Version-Nr Sprache 007 deutsch 007 f ranzosisch 007 rtalienisch 






900 


Allgemeiner Fehler 



[0020] Ist der vorerwahnte Status-Code verschieden von Null, ist ein Fehler aufgetreten. beispielsweise konnte das 
vorenwahnt Script gar nicht gestartet werden. Wenn ein Image tatsachlich heruntergeladen werden soli bedingt dies 
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einen Status-Code Null. Dabei ist fur die entsprechende HTTPS-Response in den Header-Lines der Content-Type: 
Application/octet-stream sowie content-Length: <bytes> angegeben. Der Body enthalt in diesenr, Fall das b.nare Abb.ld 
des komprimierten Image. Da die Uebertragung paketweise ertolgt, wird vorzugsweise in einer sogenannten History- 
Datei der Verlauf der Uebertragung protokolliert, so dass bei Auftreten eines nicht reparierbaren Fehlers auf einer 
5 hoheren Schicht als auf der Uebertragungsschicht mit einem weiteren Request - siehe dazu die nachfolgenden Erlau- 
terunqen zur Fig. 2 - eine bestimmte Sequenz wiederholt und an der entsprechenden Stelle im Schreiblesespeicher 
RAMI fortgesetzt werden kann. Insbesondere konnen in der History Datei die Anfangsadressen von erfolgreich uber- 
traaenen Blocken eingetragen sein. . . j < 

[0021] Der Ablauf der Kommunikation erglbt sich gemass der Darstellung in Figur 3 wie fur den vorstehend aufge- 
10 fuhrten Fall mit dem Code <code>=300 wie folgt: ^^^^OMnHim 
Von einem Gerat 1 erfolgt eine Anfrage Req1 Vom Server 4 ertolgt eine Antwort Respl mit dem Statuscode:=0 und im 
Body ist eine Textnachricht in der Art gemass Tabelle 3 mit dem Code <code>=300. Aus der Liste kann die bedienende 
Person das gewunschte Image auswahlen und die Auswahl wird als Anfrage Req2 zum Server 4 ubenpittel t. Die 
Antwort Resp4 des Servers 4 beinhaltet nun das angeforderte Image und wird temporar in den Speicher RAMI des 
Gerates 1 iibertragen vgl. Fig. 2. Dieser Ablauf kann auch vorgesehen sein, wenn nur ein einzlges Image vorhanden 
isi. Dies ist durchaus zweckmassig, urn fur das Herunterladen eines Image ein explizrtes Einverstandnis des betref- 
fenden Benutzers zu erreichen. 

100221 Das vom Server 4 zu einem Gerat 1 transferierte Image wird im Schreiblesespeicher RAMI zwischengespei- 
cherl siehe dazu den Speicherbereich Image.tmp gemass der Fig. 2. Nach erfolgter vollstandiger Uebertragung wird 
eniweder durch eine erforderliche Benutzeraktion oder automatlsch der Inhalt des vorerwahnten Spefcherbereichs 
blockweise in den Lesepeicher Flashi zuruckgeschrieben, dies ist in Figur 2 mit dem Transfer 30 dargestellt. Die 
Ausfuhrung der Uebertragung erfolgt vorzugsweise durch ein Dienstprogramm des Bootloaders. 
[00231 Auf der Seite des Servers 4 muss nicht nur die Bereitstellung der Software-Module selber vorgekehrt werden^ 
Insbesondere muss mit cincm sogenannten Administrationstool wenigstens eine Datenbank angelegt werden und 
bestimmte Inhalte miissen vordefiniert werden. Je nach Anwendung sind beispielswefee die Oaten der Kunden zu 
speichem die potentiell die Dienste der Software-Versorgung in Anspruch nehmen. Ebenso konnen beisp.elsweise 
die vorstehend genannten Serienummemberiche der zugelassenen Gerate 1 in einer Datenbank gespeichert werden. 
Dadurch ist erst einmal primar die Berechtigungspriifung moglich. Im weiteren kann es erforderlich se.n. zu jeder 
durchgefuhrten Versorgung eines Gerates 1 einen History-Eintrag zu generieren und in der wenigstens ^-nen Daten- 
bank zu speichem. Ein solcher History-Eintrag enthalt wenigstens die einem Gerat zugehorige Kennung HWId-Red; 
vorzugsweise werden weitere Informationen abgelegt, z.B. Datum/Uhrzeit der Interaktion und Art der ubemi.ttelten 
Software-Module oder der Grund. weshalb die Uebemnittlung der Software-Module venveigert werden musste oder 
nicht moglich war. Diese History-Eintrage dienen als Basis fur allfallig zukOnftig durchzufuhrende Prufungen der Be- 
rechtiqunq Dadurch wird die Sicherheit hinsichtlich eines Missbrauches wie auch hinslchtlich des Betnebs eines sol- 
chen Gerates erhoht. Zum letzteren konnen damit Abhangigkeit der verschiedenen StSnde und/oder Vensionen/Revi- 
sionen der Software-Module in differenzierter Weise berucksichtigt werden. 

r00241 Die in Fig. 3 dargestellte Ablaufsequenz Req1 , Respl . Req2. Resp2 kann auch vorgesehen werden, dass 
zusalzlich die betreffende Person auf grund einer vorgangig erfolgten Registrierung ihre sogenannte Benutzerkennung 
und ein Passwort eingeben muss und erst im Anschluss daran erfolgt ein Download eines neuen Image, Es konnen 
in einer weiteren Ausfuhrungsf orm der Erfindung weitere Interaktionen Req/Resp sooft iteriert werden, bis tateachteh 
alle Informationen fur die Feststellung der Berechtigung vorhanden sind und abhangig vom Ergebnis der Berechti- 
gungspriifung anschliessend ein Download eines neuen Image erfolgt. Die zusatzfche Feststellung der Identitat einer 
Person ist dann vorzusehen, wenn ein soteher Download mit einer Kostenfolge verbunden sein soil. 
r00251 Weitere Interaktionen Req/Resp konnen auch automatlsch generiert werden. beispielsweise urn bei einem 
45 aufgetretenen Fehler ab einer bestimmten Stelle gemass den Angaben in der History-Datei eine Uebertragung von 
Software-Modulen fortzusetzen. . ^ ■ 

[0026] Das erfindungsgemasse Verfahren zur Versorgung mit Software-Modulen ist nicht auf die e.ngangs genannten 
Gerate beschrankt. sondem kann auch fur Systeme und Datenverarbeitungsanlagen eingesetzt werden. bei denen 
strenge Anforderungen hinsichtlich Kompatibilitat von neuen Software-Modulen zur zugehorigen Hardware und/oder 
so zu bereits installierten Software-Modulen zu erfullen sind. 

Listo dor vonwondotcn Bczugszeichen und Abkurzungen 
[0027] 
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1,1', 1", .. Informations- und Kommunikationsgerat, Gerat 

2 Basisstation zu einem Infomnations- und Kommunikationsgerit. 



25 



30 



35 



40 



6 



ajcnnr.irv <pp 



EP 1 306 755 A1 



4 Server 

5 Netzwerk 

10 Vom Bootloader expandiertes und in den Schreiblesespeicher transferiertes Betrlebssystem 

20 Datenverbindung zwischen Gerat und Server 

30 Zuruckschreiben einer geanderten Version des Betriebssystems 

bootloal Bootloader, Aufstartprogramm 

CGI Common Gateway Interface 

Flashi Flash- Prom-Lesespeicher 

HTTP hypertexttransf erp rotocol 

HTTPS hypertexttransf erp rotocol secure 

IEEE The Institut of Electrical and Electronics Engineers 

lmage_res im Lesespeicher residentes Betriebssystem 

lmage_run im Schreiblesespeicher gespeichertes, ablauffahiges Betriebssystem 

lmage_tmp im Schreiblesespeicher zwischengespeichertes Betriebssystem 

IP Internet Protocol 

ISDN Integrated Services Digital Network 

ig Language 

RAMI Schreiblesespeicher 

Req Request 

Resp Response 

suppi Supplement 

term Termination 

URL Uniform Resource Locater 



Patentanspruche 

1. Verfahren zur Versorgung eines Gerates (1 ) mit einem Software- Modu I (image_tmp, image), wobei das Gerat (1) 
einen Prozessor und einen Speicher (Flashi , RAMI ) enthalt, der in einen fluchtigen Schreiblesespeicher (RAMI ) 
und einen nichtfluchtigen Lesespeicher (Flashi) gegliedert ist und wobei das Gerat (1) uber ein Netzwerk (5) mit 
einem Sen/er (4) fur einen Datentransfer (20) verbindbar ist, 
gekennzeichnet durch die Verfahrensschritte: 

A eine wenigstens das Gerat (1) identifizierende Kennung (Id-Rec) wird vom Gerat (1) an den Server (4) 
ubermittett; 

B Im Server (4) wird gepruft. ob zur ubennlttelten Kennung (Id-Rec) ein korrespondierendes Software-Modul 
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(image_tmp) vorhanden ist und ob fur die Kennung (Id-Rec) eine Berechligung vorhanden ist. ein Software- 

Modul (image tmp) zu ubermitteln; ^:^.«r,ri« Q^fh*iorc. 

C abhangig vom Ergebnis der Prufung im Verf ahrensschritt B wird entweder ^^^^^^^^^^^^ 
Modul (image_tmp) Oder eine Meldung ubermittelt und im Speicher (Flashi . RAMI) des Gerates (1) gespe.- 
chert, wobel die Uebermittlung in den Verfahrensschrltten A und C verschlusselt ist. 

Verlahren nach Anspruch 1 , 
dadurch gekennzeichnet, dass 

die im Verfahrensschritt A libermittelte Kennung (Id-Rec) Angaben enthalt 
uber das Gerat (1) : 

- Ausbau (RAMI, Flashi , suppl) des Gerates (1); 

- Herkunft (HW-Vers) des Gerates (1 ); 

und/oder uber die auf dem Gerat (1) installiertes Software- Module (lmage_res): 

aut dem Gerat (1) installierte Sprache (1g); o *.,««r« 

- HerkuTft (orig-ld) und/oder Laufnummer (SW-Vers) eines momentan auf dem Gerat (1) .nstall.ertes Software- 

Moduls (image__res). 
Verfahren nach Anspruch 2, 

fr^tl'hfe^'rh^' B aufgrund der HerKun« des Ger.tes (1) und/oder der HerKunft des Soft- 

ware-Moduls (lmage_res) gepruft wird. 

Verfahren nach einem der Anspruche 1 bis 3, 

t^^^L'^a^^n^t^TB^^'^^mu'yg aufgrund einer vorgangig gespeicherten Benutzeridentrtat gepruft wird. 

Verfahren nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, dass 

im Verfahrensschritt C die gesicherte Uebertragung mittels des Protokolls https erfolgt 
Verfahren nach einem der Anspruche 1 bis 5, 

C vorhanden sind. 

Verfahren nach einem der Anspruche 1 bis 6, 

fr^terfrh?e^'sT«^^^^ (4) wenigstens eine Datenbar,k vorhander, Ist, deren Eintrage fur die Prufung 

deriSlgungb^^^^^ 

Prufung der Berechtigung in der wenigstens einen Datenbank gespeichert wird. 

System zur Durchfiihrung eines Verfahren zur Versorgung eines Gerates (1) mit e'"®'" Sottware-Modul 
Omage.tmp. image_res), wobei das System wenigstens ein Gerat (1) umfasst. dass Ober e,n Nelzwerl. (5) m.t 
einem Server (4) verbindbar ist, 

Ss system MWei^u^eS. ^^ie Verfah-^nsschritte /V. B und C gemass einem der /^spruche 1 bis 7 durchzu- 
fuhren. 
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